手順 7.5.Step 7.5. Windows 10 デバイスに OMA-URI ベースの VPNv2 プロファイルを作成するCreate OMA-DM based VPNv2 profiles to Windows 10 devices

適用対象: Windows Server (半期チャネル)、Windows Server 2016、Windows Server 2012 R2、Windows 10Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10

この手順では、Intune を使用して OMA-URI ベースの VPNv2 プロファイルを作成し、VPN デバイス構成ポリシーを展開することができます。In this step, you can create OMA-DM based VPNv2 profiles using Intune to deploy a VPN Device Configuration policy. VPNv2 プロファイルを作成するために SCCM または PowerShell スクリプトを使用する場合、詳細については、 VPNV2 CSP 設定を参照してください。If you want to use SCCM or PowerShell script to create VPNv2 profiles, see VPNv2 CSP settings for more details.

Intune を使用した管理された展開Managed Deployment using Intune

このセクションで説明するすべてのものは、VPN を条件付きアクセスで動作させるために最低限必要です。Everything discussed in this section is the minimum needed to make VPN work with Conditional Access. WIP を使用した分割トンネリングについては説明しません。また、カスタムの Intune デバイス構成プロファイルを作成して AutoVPN の機能を取得します。It does not cover Split Tunneling, Using WIP, creating custom Intune device configuration profiles to get AutoVPN working, or SSO. 以下の設定を、前の手順5で作成した VPN プロファイルに統合します。Windows 10 クライアント Always On VPN 接続を構成します。Integrate the settings below into the VPN profile you created earlier under Step 5. Configure Windows 10 Client Always On VPN Connections.  この例では、 Intune ポリシーを使用して VPN クライアントを構成します。  In this example, we are integrating them into the Configure the VPN client by using Intune policy.

前提条件:Prerequisite:

Windows 10 クライアントコンピューターは、Intune を使用して VPN 接続を使用して既に構成されています。Windows 10 client computer has already been configured with a VPN connection using Intune.

作業Procedure:

  1. Azure portal で、[ intune > デバイス構成 > プロファイル] を選択し、「 intune を使用して vpn クライアントを構成する」の手順で作成した vpn プロファイルを選択します。In the Azure portal, select Intune > Device Configuration > Profiles and select the VPN profile you created earlier in Configure the VPN client by using Intune.

  2. ポリシーエディターで、 [プロパティ] > [設定] > [ベース VPN] の中から選択します。In the policy editor, select Properties > Settings > Base VPN. 既存のEAP Xmlを拡張して、検出された最初の証明書を使用できるようにするのではなく、ユーザーの証明書ストアから AAD 条件付きアクセス証明書を取得するために必要なロジックを VPN クライアントに付与するフィルターを含めるようにします。Extend the existing EAP Xml to include a filter that gives the VPN client the logic it needs to retrieve the AAD Conditional Access certificate from the user's certificate store instead of leaving it to chance allowing it to use the first certificate discovered.

    注意

    これを行わない場合、VPN クライアントは、オンプレミスの証明機関から発行されたユーザー証明書を取得することができ、その結果、VPN 接続が失敗します。Without this, the VPN client could retrieve the user certificate issued from the on-premises certificate authority, resulting in a failed VPN connection.

    Intune ポータル

  3. </acceptservername ></eaptype > で終わるセクションを見つけて、これら2つの値の間に次の文字列を挿入します。これにより、VPN クライアントに AAD 条件付きアクセス証明書を選択するためのロジックを提供します。Locate the section that ends with </AcceptServerName></EapType> and insert the following string between these two values to provide the VPN client with the logic to select the AAD Conditional Access Certificate:

    <TLSExtensions xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2"><FilteringInfo xmlns="https://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3"><EKUMapping><EKUMap><EKUName>AAD Conditional Access</EKUName><EKUOID>1.3.6.1.4.1.311.87</EKUOID></EKUMap></EKUMapping><ClientAuthEKUList Enabled="true"><EKUMapInList><EKUName>AAD Conditional Access</EKUName></EKUMapInList></ClientAuthEKUList></FilteringInfo></TLSExtensions>
    
  4. [条件付きアクセス] ブレードを選択し、この VPN 接続のトグル条件付きアクセス有効にします。Select the Conditional Access blade and toogle Conditional access for this VPN connection to Enabled.

    この設定を有効にすると、VPNv2 Profile XML で <DeviceCompliance ><enabled > true< 設定が有効になります。Enabling this setting changes the <DeviceCompliance><Enabled>true</Enabled> setting in the VPNv2 Profile XML.

    Always On VPN の条件付きアクセス-プロパティ

  5. [OK] を選択します。Select OK.

  6. [割り当て] を選択し、含める で [含めるグループ] を選択 を選択します。Select Assignments, under Include, select Select groups to include.

  7. このポリシーを受信するVPN ユーザーグループを選択し、 [保存] を選択します。Select the VPN Users group that receives this policy and select Save.

    自動 VPN ユーザーの上限-割り当て

クライアントで MDM ポリシーの同期を強制するForce MDM Policy Sync on the Client

VPN プロファイルがクライアントデバイスに表示されない場合は、[設定\Network & インターネット\VPN] で、MDM ポリシーを強制的に同期させることができます。If the VPN profile does not show up on the client device, under Settings\Network & Internet\VPN, you can force MDM policy to sync.

  1. ドメインに参加しているクライアントコンピューターに、 VPN ユーザーグループのメンバーとしてサインインします。Sign in to a domain-joined client computer as a member of the VPN Users group.

  2. [スタート] メニューで、「 account」と入力し、enter キーを押します。On the Start menu, enter account, and press Enter.

  3. 左側のナビゲーションウィンドウで、[職場または学校にアクセスする] を選択します。In the left navigation pane, select Access work or school.

  4. [職場または学校にアクセスする] で、[接続先] を選択し < \domain > MDMに選択し、 [情報] を選択します。Under Access work or school, select Connected to <\domain> MDM, then select Info.

  5. [同期] を選択し、[設定\ネットワーク & インターネット\vpn] の下に vpn プロファイルが表示されることを確認します。Select Sync and verify the VPN profile appears under Settings\Network & Internet\VPN.

次の手順Next steps

Azure AD 条件付きアクセスを使用するように VPN プロファイルを構成しました。You are done configuring the VPN profile to use Azure AD conditional access.

目的の処理If you want to... 参照先Then see...
Vpn での条件付きアクセスのしくみについての詳細情報Learn more about how conditional access works with VPNs Vpn と条件付きアクセス: このページでは、vpn での条件付きアクセスのしくみについて詳しく説明します。VPN and conditional access: This page provides more information about how conditional access works with VPNs.
高度な VPN 機能についての詳細情報Learn more about the advanced VPN features 高度な Vpn 機能: このページでは、Vpn トラフィックフィルターを有効にする方法、アプリトリガーを使用して自動 VPN 接続を構成する方法、Azure AD によって発行された証明書を使用するクライアントからの vpn 接続のみを許可するように NPS を構成する方法に関するガイダンスを提供します。Advanced VPN Features: This page provides guidance on how to enable VPN Traffic Filters, how to configure Automatic VPN connections using App-Triggers, and how to configure NPS to only allow VPN Connections from clients using certificates issued by Azure AD.
  • VPNV2 csp: このトピックでは、VPNv2 csp の概要について説明します。VPNv2 CSP: This topic provides you with an overview of VPNv2 CSP. VPNv2 構成サービスプロバイダーを使用すると、モバイルデバイス管理 (MDM) サーバーでデバイスの VPN プロファイルを構成できます。The VPNv2 configuration service provider allows the mobile device management (MDM) server to configure the VPN profile of the device.

  • Windows 10 クライアント ALWAYS ON VPN 接続を構成する: このトピックでは、ProfileXML のオプションとスキーマ、および ProfileXML VPN の作成方法について説明します。Configure Windows 10 Client Always On VPN Connections: This topic provides information about the ProfileXML options and schema, and how to create the ProfileXML VPN. サーバーインフラストラクチャを設定したら、VPN 接続を使用して、そのインフラストラクチャと通信するように Windows 10 クライアントコンピューターを構成する必要があります。After setting up the server infrastructure, you must configure the Windows 10 client computers to communicate with that infrastructure with a VPN connection.

  • Intune を使用して vpn クライアントを構成する: このトピックでは、Windows 10 リモートアクセス Always On vpn プロファイルに展開する方法について説明します。Configure the VPN client by using Intune: This topic provides information on how to deploy Windows 10 Remote Access Always On VPN profiles. Intune で Azure AD グループが使用されるようになりました。Intune now uses Azure AD groups. VPN ユーザーグループをオンプレミスから Azure AD に同期 Azure AD Connect 場合、Intune を使用して VPN クライアントを構成する必要はありません。If Azure AD Connect synced the VPN Users group from on-premises to Azure AD, then there is no need for configuring the VPN client using Intune.